Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 678
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
7
Грибунин
193
Рис. 9.2. Классификация методов измерений
5 — существенное превосходство одного критерия над другим;
7 — значительное превосходство одного критерия над другим;
9 — очень сильное превосходство одного критерия над другим.
В принципе можно разрешить использовать любые соотноше
ния типа «в N раз больше». Эксперта просят попарно сравнить
ЧПК. Результат парных сравнений записывается в таблицу
(табл. 9.1).
Простые дроби в клетках трактуются следующим образом. На
пример, на пересечении строки «Стоимость» и столбца «Произ
водительность» записана дробь 3/,. Это выражает мнение экспер
та о том, что важность ЧПК «Стоимость» в 3 раза выше ЧПК
«Производительность». Далее простые дроби переводятся в деся
тичные и подсчитываются строчные суммы. Результаты отражены в табл. 9.2.
Правый столбец табл. 9.2 получается в результате нормирова
ния сумм по строке таким образом, чтобы их сумма в свою оче
редь была равна 1. Для этого разделим сумму каждой строки на
27,6 (сумма последнего столбца, т.е. сумма самих строчных сумм).
В результате нормировки получаем оценки важности для всех
ЧПК. Отметим, что полученные оценки отражают исключитель
но точку зрения конкретного эксперта. На самом деле, вместо строчных сумм Саати рекомендует использовать собственный век
тор матрицы парных сравнений, считая его более точной оцен-
Т а б л и ц а 9.1. Предпочтения эксперта при попарном
сравнении ЧПК
ЧПК
с
п
3
О
с
1/1 3/1 1/1 8/1
п
1/3 1/1 1/3 3/1 3
1/1 3/1 1/1 7/1
О
1/8 1/3 1/7 1/1
Т а б л и ц а 9.2. Предпочтения эксперта при попарном сравнении ЧПК
ЧПК
с
П
3
О
Сумма по строке
Нормированная сумма
с
1 0,33 1
8 10,33 0,374
п
0,33 1
0,33 3
4,66 0,169 3
1 3
1 7
12 0,435
О
0,125 0,33 0,143 1
0,6 0,022
Всего
27,6 1,00
кой. Строчные суммы также допустимы, но, с точки зрения Саа- ти, менее точны.
После определения весов ЧПК СЗИ осуществляется решение задачи комбинаторного перебора вариантов возможных решений, формируемых по входной матрице всех допустимых вариантов защиты. При этом решается задача многокритериальной оптими
зации. Существует множество способов ее решения.
9 .3 . Оптимальное построение системы защиты
для АС
Оптимальным считается решение, доставляющее экстремум некоторому функционалу. Оптимальность решения достигается за счет наиболее рационального распределения ресурсов, затра
чиваемых на решение проблемы защиты.
Свойства параметров исследуемых объектов подразделяются на внутренние и внешние. При проектировании системы ее внешние параметры задаются заказчиком или потребителем, а внутренние выбираются разработчиками в процессе проектирования. Между внешними и внутренними параметрами существует взаимосвязь.
Например, под внешними параметрами для АС выступают сто
имость, время работы, срок сохранности конфиденциальности информации, объем используемой памяти и т.п. В качестве внут
ренних параметров: криптографический стандарт, длина ключа, время жизни ключа/пароля, система распределения ключей и др.
После того как каждый параметр компонентов получил коли
чественную оценку, формулируется задача оптимального проек
тирования. Когда все параметры оценены количественно, она превращается в задачу многокритериальной оптимизации, кото
рая может быть решена математическими методами (линейное, векторное, динамическое программирование).
Критерий оптимальности /„ = min L{ Қ Yw) формулируется на основе целевой функции L(Y, Қр), включающей систему показа
Грибунин
193
от угрозы. Пусть средства защиты информации {хи х2, х т} обра
зуют вектор из т элементов х; их стоимость образует вектор той же размерности С. В результате примененияу-го средства защиты информации риск уменьшается на некоторую величину А}. Тогда задача синтеза оптимальной системы защиты информации может быть сформулирована в виде
п т
т
F(x\C) =
± ± A t
± C ,* C m .
(9.1)
/=1 j=\
/=1
При условии независимости угроз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны
СЗИ /?/стр получаем следующее выражение для общего предотвра
щенного ущерба:
Д = F(pl\q,\pfa*), i = h n , j = lm,
(9.2)
где qt — нанесенный у-й угрозой ущерб.
Рассмотрим входящие в выражение (9.2) величины. Вероят
ность появления угрозы определяется статистически или на осно
ве экспертного опроса. Ущерб, наносимый угрозой, может выра
жаться в денежном эквиваленте, а также в объеме уничтоженной
(раскрытой) информации и т. п.
Наиболее сложным вопросом является определение вероятно
сти устранения /-й угрозы при проектировании у-го СЗИ. Сдела
ем естественное допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требо
вания к СЗИ при их проектировании, т.е.
РіГ* =f(Xj\,
XJ2, . . . ,
xjm),
(9.3)
где xjk — степень выполнения &-го требования к у- му СЗИ. Требо
вания могут быть количественные и качественные. Для количе
ственных требований можно ввести меру, показывающую близость требований к заданным, например среднеквадратическое откло
нение. Для качественных требований эта мера может быть логи
ческой: «выполнено» —«не выполнено» либо иметь определенные градации, например «отлично», «хорошо», «удовлетворительно»,
«неудовлетворительно».
Можно ввести понятие относительного показателя защищен
ности — количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1), (уровень безопас
ности на практике не может достигать 100 %).
В работе [49] приведены также дополнительные требования к системе зашиты информации:
1) требования к корректности реализации механизмов зашиты — определяют основополагающие принципы реализации каждого
зуют вектор из т элементов х; их стоимость образует вектор той же размерности С. В результате примененияу-го средства защиты информации риск уменьшается на некоторую величину А}. Тогда задача синтеза оптимальной системы защиты информации может быть сформулирована в виде
п т
т
F(x\C) =
± ± A t
± C ,* C m .
(9.1)
/=1 j=\
/=1
При условии независимости угроз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны
СЗИ /?/стр получаем следующее выражение для общего предотвра
щенного ущерба:
Д = F(pl\q,\pfa*), i = h n , j = lm,
(9.2)
где qt — нанесенный у-й угрозой ущерб.
Рассмотрим входящие в выражение (9.2) величины. Вероят
ность появления угрозы определяется статистически или на осно
ве экспертного опроса. Ущерб, наносимый угрозой, может выра
жаться в денежном эквиваленте, а также в объеме уничтоженной
(раскрытой) информации и т. п.
Наиболее сложным вопросом является определение вероятно
сти устранения /-й угрозы при проектировании у-го СЗИ. Сдела
ем естественное допущение, что эта вероятность определяется тем, насколько полно учтены качественные и количественные требо
вания к СЗИ при их проектировании, т.е.
РіГ* =f(Xj\,
XJ2, . . . ,
xjm),
(9.3)
где xjk — степень выполнения &-го требования к у- му СЗИ. Требо
вания могут быть количественные и качественные. Для количе
ственных требований можно ввести меру, показывающую близость требований к заданным, например среднеквадратическое откло
нение. Для качественных требований эта мера может быть логи
ческой: «выполнено» —«не выполнено» либо иметь определенные градации, например «отлично», «хорошо», «удовлетворительно»,
«неудовлетворительно».
Можно ввести понятие относительного показателя защищен
ности — количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1), (уровень безопас
ности на практике не может достигать 100 %).
В работе [49] приведены также дополнительные требования к системе зашиты информации:
1) требования к корректности реализации механизмов зашиты — определяют основополагающие принципы реализации каждого
механизма защиты, выполнение которых является необходимым для разработчика средств защиты, так как это обеспечивает кор
ректность реализации механизмов защиты;
2) требования к комплексированию механизмов защиты — опре
деляют принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обес
печивает достаточность набора механизмов защиты для условий применения системы;
3) требования по обеспечению необходимого уровня доверия потребителя системы защиты к ее разработчику — определяют условия, выполнением которых разработчик обеспечит необходи
мый уровень доверия к нему, а как следствие, и к поставляемой им системе потребителя.
Первое и третье из этих требований связаны с технологиче
ским процессом разработки СЗИ и удовлетворяются за счет вы
полнения разработчиком лицензионных требований ФСТЭК Рос
сии, а также проверяются на этапе сертификации.
Требования по комплексированию формулируют условия при
менения системы защиты. Целесообразность учета подобных тре
бований заключается в том, что условия практического использо
вания систем защиты могут существенно различаться. Система защиты информации, реализующая всю совокупность механиз
мов защиты, обеспечивающая все возможные условия ее исполь
зования, в большинстве случаев может оказаться нерациональ
ной.
Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования си
стемы защиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих дан
ные механизмы.
9.2.4. Выбор механизмов и средств защиты
информации
При принятии решения о выборе наилучшего варианта систе
мы защиты информации в соответствии с некоторым критерием возникает задача определения требований, предъявляемых к па
раметрам СЗИ. Эти параметры обусловливают качество СЗИ.
Для оптимального проектирования системы защиты информа
ции воспользуемся основными понятиями квалиметрии.
Качество — это свойство или совокупность свойств объекта, обусловливающих его пригодность для использования по назна
чению. Каждое из свойств объекта может быть описано с помо
щью некоторой переменной, значение которой характеризует меру
(интенсивность) его качества относительно этого свойства. Такую
ректность реализации механизмов защиты;
2) требования к комплексированию механизмов защиты — опре
деляют принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обес
печивает достаточность набора механизмов защиты для условий применения системы;
3) требования по обеспечению необходимого уровня доверия потребителя системы защиты к ее разработчику — определяют условия, выполнением которых разработчик обеспечит необходи
мый уровень доверия к нему, а как следствие, и к поставляемой им системе потребителя.
Первое и третье из этих требований связаны с технологиче
ским процессом разработки СЗИ и удовлетворяются за счет вы
полнения разработчиком лицензионных требований ФСТЭК Рос
сии, а также проверяются на этапе сертификации.
Требования по комплексированию формулируют условия при
менения системы защиты. Целесообразность учета подобных тре
бований заключается в том, что условия практического использо
вания систем защиты могут существенно различаться. Система защиты информации, реализующая всю совокупность механиз
мов защиты, обеспечивающая все возможные условия ее исполь
зования, в большинстве случаев может оказаться нерациональ
ной.
Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования си
стемы защиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих дан
ные механизмы.
9.2.4. Выбор механизмов и средств защиты
информации
При принятии решения о выборе наилучшего варианта систе
мы защиты информации в соответствии с некоторым критерием возникает задача определения требований, предъявляемых к па
раметрам СЗИ. Эти параметры обусловливают качество СЗИ.
Для оптимального проектирования системы защиты информа
ции воспользуемся основными понятиями квалиметрии.
Качество — это свойство или совокупность свойств объекта, обусловливающих его пригодность для использования по назна
чению. Каждое из свойств объекта может быть описано с помо
щью некоторой переменной, значение которой характеризует меру
(интенсивность) его качества относительно этого свойства. Такую
меру называют показателем свойства или единичным, частным показателем качества (ЧПК) объекта.
Например, СЗИ каждого вида может характеризоваться таки
ми ЧПК, как Му = {Q, Рф Tij9 Ѵір ...}, где Сі} — стоимость сред
ства защиты; Р0 — уровень защищенности; Ту — время на осуще
ствление элементарной операции; Ѵ0- — необходимый объем опе
ративной памяти. При необходимости проектировщики могут до
бавлять новые ЧПК для оценки механизмов защиты.
Уровень качества объекта характеризуется значениями сово
купности показателей его существенных — атрибутивных — свойств
(АС), т.е. свойств, необходимых для соответствия объекта его на
значению. Эта совокупность называется показателем качества.
Показатель качества объекта — это вектор, компоненты ко
торого есть показатели его отдельных свойств, представляющие собой частные, единичные показатели качества объекта.
Критерий оценивания качества — это руководящее правило
(условие или совокупность условий), вытекающее из принятых принципов оценивания, реализуемое при принятии того или иного решения (проектного, организационного, управленческого и т.п.)
о качестве исследуемого объекта.
Для того чтобы можно было использовать показатели качества в дальнейших математических расчетах, они должны быть выра
жены некоторыми количественными значениями. Показатели ка
чества подсистемы защиты складываются из показателей качества ее элементов, т.е. СЗИ.
Показатели качества системы защиты складываются из сово
купности характеристик подсистем. Следовательно, можно учесть ограничения, накладываемые на систему в целом и найти опти
мальный состав механизмов защиты для достижения требуемых показателей эффективности системы защиты информации. Зна
чения характеристик системы можно варьировать путем перебора различных вариантов состава подсистем защиты.
Таким образом, для выбора СЗИ при проектировании системы защиты необходимо:
1) определить необходимый состав механизмов защиты;
2) определить ЧПК средств защиты, реализующих эти меха
низмы;
3) определить важность каждого ЧПК для решения общей за
дачи защиты информации и сформировать показатели качества
СЗИ;
4) составить список имеющихся или проектируемых СЗИ и рассчитать для них показатели качества;
5) выполнить оптимальное проектирование системы защиты.
По отношению к выбору необходимого состава механизмов защиты в настоящее время известны различные подходы. Один из подходов, описанный в РД Гостехкомиссии России «АС. Защита
Например, СЗИ каждого вида может характеризоваться таки
ми ЧПК, как Му = {Q, Рф Tij9 Ѵір ...}, где Сі} — стоимость сред
ства защиты; Р0 — уровень защищенности; Ту — время на осуще
ствление элементарной операции; Ѵ0- — необходимый объем опе
ративной памяти. При необходимости проектировщики могут до
бавлять новые ЧПК для оценки механизмов защиты.
Уровень качества объекта характеризуется значениями сово
купности показателей его существенных — атрибутивных — свойств
(АС), т.е. свойств, необходимых для соответствия объекта его на
значению. Эта совокупность называется показателем качества.
Показатель качества объекта — это вектор, компоненты ко
торого есть показатели его отдельных свойств, представляющие собой частные, единичные показатели качества объекта.
Критерий оценивания качества — это руководящее правило
(условие или совокупность условий), вытекающее из принятых принципов оценивания, реализуемое при принятии того или иного решения (проектного, организационного, управленческого и т.п.)
о качестве исследуемого объекта.
Для того чтобы можно было использовать показатели качества в дальнейших математических расчетах, они должны быть выра
жены некоторыми количественными значениями. Показатели ка
чества подсистемы защиты складываются из показателей качества ее элементов, т.е. СЗИ.
Показатели качества системы защиты складываются из сово
купности характеристик подсистем. Следовательно, можно учесть ограничения, накладываемые на систему в целом и найти опти
мальный состав механизмов защиты для достижения требуемых показателей эффективности системы защиты информации. Зна
чения характеристик системы можно варьировать путем перебора различных вариантов состава подсистем защиты.
Таким образом, для выбора СЗИ при проектировании системы защиты необходимо:
1) определить необходимый состав механизмов защиты;
2) определить ЧПК средств защиты, реализующих эти меха
низмы;
3) определить важность каждого ЧПК для решения общей за
дачи защиты информации и сформировать показатели качества
СЗИ;
4) составить список имеющихся или проектируемых СЗИ и рассчитать для них показатели качества;
5) выполнить оптимальное проектирование системы защиты.
По отношению к выбору необходимого состава механизмов защиты в настоящее время известны различные подходы. Один из подходов, описанный в РД Гостехкомиссии России «АС. Защита
от НСД. Классификация АС и требования по защите информа
ции», заключается в жестком перечислении необходимых меха
низмов безопасности в зависимости от класса защищенности АС.
Этот подход имеет определенные недостатки, в частности:
• статичность требований к АС, сложность их технической ре
ализации;
• инвариантность к результатам оценки рисков и среде эксплу
атации АС;
• низкая эффективность защиты;
• несогласованность с новой нормативной базой безопасности изделий ИТ (ГОСТ Р ИСО/МЭК 15408-2002).
Альтернативный подход описан в проекте специального тех
нического регламента № 45, согласно которому все АС разбива
ются на классы в зависимости от возможного ущерба, к которому может привести нарушение безопасности информации. Ущерб выражен в денежном выражении, а также связан с жизнью и здо
ровьем людей. Недостатком такого подхода является сложность определения ущерба в каждом конкретном случае и отсутствие методик такого расчета для информации ограниченного распро
странения.
Наиболее рациональный подход к методологии задания требо
ваний безопасности информации и оценке их выполнения для
АС приведен в стандарте ISO/IEC 19791, который пока еще не переведен на русский язык. Этот стандарт расширяет концепцию
ГОСТ 15408 для АС, позволяет предъявлять требования как к ИТ- составляющим АС, так и не к ИТ-составляющим. Вместе с тем вне области действия ISO/IEC 19791 находятся такие аспекты, как:
• категорирование информации;
• категорирование АС;
• определение необходимого уровня безопасности АС, с уче
том которого должны задаваться минимально необходимые тре
бования безопасности АС;
• вопросы анализа рисков.
Получить значения ЧПК средств защиты информации обычно не составляет труда. Например, может быть известно, что про
граммный межсетевой экран стоит 1 500 р., его применение по
требует 32 Мбайт системной памяти и займет ресурс центрально
го процессора примерно 5 %. Защищенность СЗИ может быть оце
нена косвенно, на основе имеющихся данных о классе защищен
ности.
Для формирования показателя качества СЗИ можно присвоить каждому ЧПК некоторый вес, т.е. ввести понятие веса, определя
ющего его важность. Для этого могут быть использованы фор
мальные и неформальные методы экспертной оценки. Не всегда представляется возможным определить веса непосредственно или
ции», заключается в жестком перечислении необходимых меха
низмов безопасности в зависимости от класса защищенности АС.
Этот подход имеет определенные недостатки, в частности:
• статичность требований к АС, сложность их технической ре
ализации;
• инвариантность к результатам оценки рисков и среде эксплу
атации АС;
• низкая эффективность защиты;
• несогласованность с новой нормативной базой безопасности изделий ИТ (ГОСТ Р ИСО/МЭК 15408-2002).
Альтернативный подход описан в проекте специального тех
нического регламента № 45, согласно которому все АС разбива
ются на классы в зависимости от возможного ущерба, к которому может привести нарушение безопасности информации. Ущерб выражен в денежном выражении, а также связан с жизнью и здо
ровьем людей. Недостатком такого подхода является сложность определения ущерба в каждом конкретном случае и отсутствие методик такого расчета для информации ограниченного распро
странения.
Наиболее рациональный подход к методологии задания требо
ваний безопасности информации и оценке их выполнения для
АС приведен в стандарте ISO/IEC 19791, который пока еще не переведен на русский язык. Этот стандарт расширяет концепцию
ГОСТ 15408 для АС, позволяет предъявлять требования как к ИТ- составляющим АС, так и не к ИТ-составляющим. Вместе с тем вне области действия ISO/IEC 19791 находятся такие аспекты, как:
• категорирование информации;
• категорирование АС;
• определение необходимого уровня безопасности АС, с уче
том которого должны задаваться минимально необходимые тре
бования безопасности АС;
• вопросы анализа рисков.
Получить значения ЧПК средств защиты информации обычно не составляет труда. Например, может быть известно, что про
граммный межсетевой экран стоит 1 500 р., его применение по
требует 32 Мбайт системной памяти и займет ресурс центрально
го процессора примерно 5 %. Защищенность СЗИ может быть оце
нена косвенно, на основе имеющихся данных о классе защищен
ности.
Для формирования показателя качества СЗИ можно присвоить каждому ЧПК некоторый вес, т.е. ввести понятие веса, определя
ющего его важность. Для этого могут быть использованы фор
мальные и неформальные методы экспертной оценки. Не всегда представляется возможным определить веса непосредственно или
вычислить по известным аналитическим зависимостям. В случае, когда значения весов невозможно получить изложенными выше способами, необходимо использовать неформальные экспертные оценки. Подобные методы состоят из двух этапов: сбор эксперт
ных оценок важности ЧПК и статистическая обработка получен
ных результатов.
9.2.5. Определение важности параметров средств
защиты информации
Определение коэффициентов важности можно выполнить с применением математической теории измерений. В теории изме
рения различаются два класса и несколько подклассов измере
ний, как это показано на рис. 9.2.
Воспользуемся для определения весов важности ЧПК СЗИ методом Саати, который относится, согласно приведенной клас
сификации, к методу попарных сравнений.
Метод Саати заключается в следующем.
Предположим, что результаты попарного сравнения парамет
ров описываются отношениями их весов, т.е. представимы в виде матрицы А (матрицы Саати):
А = \кі/ Х/D; /, j е и.
(9.4)
Справедливо следующее равенство:
(А - яЕ)Л = 0,
(9.5)
где Е — единичная матрица; Л — вектор весов.
Для нахождения вектора весов необходимо решить уравнение
(9.5). Поскольку ранг матрицы равен 1, п — единственное соб
ственное число этой матрицы, и, следовательно, уравнение (9.5) имеет ненулевое решение. Более того, это единственное решение, обладающее свойством
І > , = 0 .
(9.6)
/=і
Это решение и есть искомый вектор относительных весов па
раметров — вектор Саати.
Рассмотрим применение данного метода на гипотетическом примере. Пусть имеются следующие ЧПК СЗИ: С — стоимость;
П — снижение производительности системы за счет его примене
ния; 3 — защищенность; О — требуемый объем памяти.
Выполним попарное сравнение данных ЧПК. Саати предло
жил использовать шкалу следующего типа:
1 — равная важность критериев;
3 — умеренное превосходство одного критерия над другим;
ных оценок важности ЧПК и статистическая обработка получен
ных результатов.
9.2.5. Определение важности параметров средств
защиты информации
Определение коэффициентов важности можно выполнить с применением математической теории измерений. В теории изме
рения различаются два класса и несколько подклассов измере
ний, как это показано на рис. 9.2.
Воспользуемся для определения весов важности ЧПК СЗИ методом Саати, который относится, согласно приведенной клас
сификации, к методу попарных сравнений.
Метод Саати заключается в следующем.
Предположим, что результаты попарного сравнения парамет
ров описываются отношениями их весов, т.е. представимы в виде матрицы А (матрицы Саати):
А = \кі/ Х/D; /, j е и.
(9.4)
Справедливо следующее равенство:
(А - яЕ)Л = 0,
(9.5)
где Е — единичная матрица; Л — вектор весов.
Для нахождения вектора весов необходимо решить уравнение
(9.5). Поскольку ранг матрицы равен 1, п — единственное соб
ственное число этой матрицы, и, следовательно, уравнение (9.5) имеет ненулевое решение. Более того, это единственное решение, обладающее свойством
І > , = 0 .
(9.6)
/=і
Это решение и есть искомый вектор относительных весов па
раметров — вектор Саати.
Рассмотрим применение данного метода на гипотетическом примере. Пусть имеются следующие ЧПК СЗИ: С — стоимость;
П — снижение производительности системы за счет его примене
ния; 3 — защищенность; О — требуемый объем памяти.
Выполним попарное сравнение данных ЧПК. Саати предло
жил использовать шкалу следующего типа:
1 — равная важность критериев;
3 — умеренное превосходство одного критерия над другим;
Рис. 9.2. Классификация методов измерений
5 — существенное превосходство одного критерия над другим;
7 — значительное превосходство одного критерия над другим;
9 — очень сильное превосходство одного критерия над другим.
В принципе можно разрешить использовать любые соотноше
ния типа «в N раз больше». Эксперта просят попарно сравнить
ЧПК. Результат парных сравнений записывается в таблицу
(табл. 9.1).
Простые дроби в клетках трактуются следующим образом. На
пример, на пересечении строки «Стоимость» и столбца «Произ
водительность» записана дробь 3/,. Это выражает мнение экспер
та о том, что важность ЧПК «Стоимость» в 3 раза выше ЧПК
«Производительность». Далее простые дроби переводятся в деся
тичные и подсчитываются строчные суммы. Результаты отражены в табл. 9.2.
Правый столбец табл. 9.2 получается в результате нормирова
ния сумм по строке таким образом, чтобы их сумма в свою оче
редь была равна 1. Для этого разделим сумму каждой строки на
27,6 (сумма последнего столбца, т.е. сумма самих строчных сумм).
В результате нормировки получаем оценки важности для всех
ЧПК. Отметим, что полученные оценки отражают исключитель
но точку зрения конкретного эксперта. На самом деле, вместо строчных сумм Саати рекомендует использовать собственный век
тор матрицы парных сравнений, считая его более точной оцен-
Т а б л и ц а 9.1. Предпочтения эксперта при попарном
сравнении ЧПК
ЧПК
с
п
3
О
с
1/1 3/1 1/1 8/1
п
1/3 1/1 1/3 3/1 3
1/1 3/1 1/1 7/1
О
1/8 1/3 1/7 1/1
Т а б л и ц а 9.2. Предпочтения эксперта при попарном сравнении ЧПК
ЧПК
с
П
3
О
Сумма по строке
Нормированная сумма
с
1 0,33 1
8 10,33 0,374
п
0,33 1
0,33 3
4,66 0,169 3
1 3
1 7
12 0,435
О
0,125 0,33 0,143 1
0,6 0,022
Всего
27,6 1,00
кой. Строчные суммы также допустимы, но, с точки зрения Саа- ти, менее точны.
После определения весов ЧПК СЗИ осуществляется решение задачи комбинаторного перебора вариантов возможных решений, формируемых по входной матрице всех допустимых вариантов защиты. При этом решается задача многокритериальной оптими
зации. Существует множество способов ее решения.
9 .3 . Оптимальное построение системы защиты
для АС
Оптимальным считается решение, доставляющее экстремум некоторому функционалу. Оптимальность решения достигается за счет наиболее рационального распределения ресурсов, затра
чиваемых на решение проблемы защиты.
Свойства параметров исследуемых объектов подразделяются на внутренние и внешние. При проектировании системы ее внешние параметры задаются заказчиком или потребителем, а внутренние выбираются разработчиками в процессе проектирования. Между внешними и внутренними параметрами существует взаимосвязь.
Например, под внешними параметрами для АС выступают сто
имость, время работы, срок сохранности конфиденциальности информации, объем используемой памяти и т.п. В качестве внут
ренних параметров: криптографический стандарт, длина ключа, время жизни ключа/пароля, система распределения ключей и др.
После того как каждый параметр компонентов получил коли
чественную оценку, формулируется задача оптимального проек
тирования. Когда все параметры оценены количественно, она превращается в задачу многокритериальной оптимизации, кото
рая может быть решена математическими методами (линейное, векторное, динамическое программирование).
Критерий оптимальности /„ = min L{ Қ Yw) формулируется на основе целевой функции L(Y, Қр), включающей систему показа
телей (требований), а также указания по поиску ее экстремума
(min, max, min max, max min и др.).
В настоящее время используются следующие основные виды целевых функций: простая L = ( Y - Ҳр); модульная L = \ Y - Yw|; квадратичная L = [ Y - Yw]2.
Наличие множества различных и зачастую противоречивых критериев оптимальности порождает проблему многокритериаль
ной (векторной) оптимизации процесса ее функционирования.
Основными трудностями на пути ее разрешения являются необ
ходимость сокращения размерности векторного критерия опти
мальности (ВКО), нормализации и последующей скаляризации
(свертки) его компонент.
Уменьшение размерности системы показателей (критериев оп
тимальности) значительно упрощает решение задачи ВКО. Од
ним из наиболее распространенных методов редукции является метод, основанный на оценке степени линейной независимости отдельных компонент векторного критерия.
Вычисление матрицы коэффициентов корреляции ВКО про
водится на основе следующего выражения:
Mp{Pwi'}
,
где К(Іп, Іп) = M(In, In ) — матричная взаимная корреляционная функция п-го и гі-го критериев, диагональные члены которой являются дисперсиями п-х критериев, а остальные члены харак
теризуют степень линейной независимости любой пары критери
ев; рп, п' — номера критериев оптимальности; / = 1,..., М — номе
ра дискретных значений критериев;
1п
=
ІпРп( — среднее значе-
/=1
ние критерия; РпЬ Рп’Г — вероятности принятия п(п')-м критери
ем значения /; Рц— совместная вероятность принятия п-м крите
рием /-го значения и п'-м критерием /'-го значения.
Редукция системы критериев осуществляется путем удаления из исходной системы тех критериев /„, которым в матрице коэф
фициентов корреляции {р„л} соответствуют такие недиагональ
ные элементы, которые превышают величину 0,95. Следует отме
тить, что критерии оптимальности в исходной системе должны быть предварительно ранжированы по степени их важности для информационной безопасности АС. Для случая непрерывнознач
ных критериев вероятности в выражении (9.7) должны быть заме
нены на плотности распределения, а суммы на интегралы.
(min, max, min max, max min и др.).
В настоящее время используются следующие основные виды целевых функций: простая L = ( Y - Ҳр); модульная L = \ Y - Yw|; квадратичная L = [ Y - Yw]2.
Наличие множества различных и зачастую противоречивых критериев оптимальности порождает проблему многокритериаль
ной (векторной) оптимизации процесса ее функционирования.
Основными трудностями на пути ее разрешения являются необ
ходимость сокращения размерности векторного критерия опти
мальности (ВКО), нормализации и последующей скаляризации
(свертки) его компонент.
Уменьшение размерности системы показателей (критериев оп
тимальности) значительно упрощает решение задачи ВКО. Од
ним из наиболее распространенных методов редукции является метод, основанный на оценке степени линейной независимости отдельных компонент векторного критерия.
Вычисление матрицы коэффициентов корреляции ВКО про
водится на основе следующего выражения:
Mp{Pwi'}
,
где К(Іп, Іп) = M(In, In ) — матричная взаимная корреляционная функция п-го и гі-го критериев, диагональные члены которой являются дисперсиями п-х критериев, а остальные члены харак
теризуют степень линейной независимости любой пары критери
ев; рп, п' — номера критериев оптимальности; / = 1,..., М — номе
ра дискретных значений критериев;
1п
=
ІпРп( — среднее значе-
/=1
ние критерия; РпЬ Рп’Г — вероятности принятия п(п')-м критери
ем значения /; Рц— совместная вероятность принятия п-м крите
рием /-го значения и п'-м критерием /'-го значения.
Редукция системы критериев осуществляется путем удаления из исходной системы тех критериев /„, которым в матрице коэф
фициентов корреляции {р„л} соответствуют такие недиагональ
ные элементы, которые превышают величину 0,95. Следует отме
тить, что критерии оптимальности в исходной системе должны быть предварительно ранжированы по степени их важности для информационной безопасности АС. Для случая непрерывнознач
ных критериев вероятности в выражении (9.7) должны быть заме
нены на плотности распределения, а суммы на интегралы.